NTLM认证协议及SSPI的NTLM实现.doc

NTLM认证协议及SSPI的NTLM实现没错,NTLM就是你听说过的那个NTLM。是微软应用最广泛的认证协议之一。NTLM是NTLANManager的缩写,这也说明了协议的来源。NTLM是WindowsNT早期版本的标准安全协议。Windows2000内置三种基本安全协议之一。NTLM适用范围非常广,既可用于域内的认证服务,也可用于没有AD的环境,让两***立电脑相互认证。 你可能每天都用到它而不自知,你也肯可能觉得你很熟悉它了,但是这里可能还有你所不知道的背后的秘密。 比如,你可能知道NTLM可以认证用户身份,但是你可能不知道NTLM可以提供会话安全服务(NTLMSessionsecurity)。作为一个开始,我们先来介绍几个基础概念,概念清楚了,然后再看技术细节。 1,什么是认证。认证就是承认和证明的意思。就是你能证明你的身份。比如你要访问一个受保护的资源,服务器需要认证你的身份。你可以声称你是系统管理员,但是怎么证明你就是管理员呢。方法很多,这里有个简单直接的方法就是证明你知道管理员的密码。   认证的问题转化为:“怎么证明你知道你所声称的用户的密码?”这个问题了。 一个简单暴力的证明方法是,让你直接提供密码给服务器,然后服务器去数据库里面比对,看你提供的密码对不对。如果对,认证通过。否则失败。常见的所谓WindowsForms认证,或者叫做windowsbasic认证就是这种方式。简单直接。但是密码需要在网络上传输,安全问题就不说了,你懂的。 怎样在不直接提供密码的情况下,间接证明你知道密码呢? NTLM就是干这个的了。 看起来很神奇,不是吗。 比如对面有两个人互相说话(通信),说的都是明文,每一句你都能听懂。他们并没有说自己的密码就相互认证身份了,你听了半天,却不知道密码是什么。 更神奇的是,他们认证之后,再说的话你可能就听不懂了(NTLMSessionsecurity,会话安全)。(如果他们协商会话安全之后,后续的通信都是安全加密的。)  。前面已经说过了,NTLM是一种在不直接提供密码的情况下,间接证明客户端知道用户密码的方法。 NTLM认证最常见的应用场景恐怕就是用在浏览器(http协议)上的认证了。但是实际上,NTLM只规定了认证的流程,和认证消息格式。并不跟具体的协议相关。所以跟http就更没有必然联系了。浏览器只是在http协议头上携带了NTLM的消息而已,通过了认证。我们知道http通常是明文的,所以如果直接传输密码非常不安全,NTLM就有效的防止了这个问题。   怎么理解这个问题呢,举个夸张点的例子, 如果不嫌烦,客户端和服务端甚至可以通过传递小纸条的方式传递NTLM消息,来认证身份。而纸条的内容是明文的,中间传递者都可以随意查看,但是却无法知道密码,也无法伪造。 现在可以开始技术细节了,我们还是采取由大及小的方式。先从整体介绍,再逐步深入。 ,及认证流程。前面说过了,NTLM消息并不和任何传输协议绑定,它的认证消息理论上可以通过任何方式传递,所以我们的讨论都集中在协议本身,而不去关心下层的传输方式。我们先看一个图:NTLM认证共需要三个消息完成:(1). Type1消息。Negotiate协商消息。客户端在发起认证时,首先向服务器发送协商消息。协商需要认证的主体,用户,机器以及需要